一个 A2A Hub 认证问题 #245
Description
发现一个 A2A Hub 认证问题,根因在 src/gep/a2aProtocol.js 的 getHubNodeSecret()。
当前实现只读取缓存和持久化 secret:
- _cachedHubNodeSecret
- _loadPersistedNodeSecret()
但不会读取环境变量 A2A_NODE_SECRET,导致只通过 .env / shell 注入 A2A_NODE_SECRET 的部署场景下,Hub Search 会失败(表现为 401)。临时 workaround 是:
A2A_HUB_TOKEN=$A2A_NODE_SECRET
我本地验证结果:
- 仅设置 A2A_NODE_SECRET 时,Hub Search 失败
- 额外设置 A2A_HUB_TOKEN=$A2A_NODE_SECRET 后恢复
- 修改 getHubNodeSecret(),优先读取 process.env.A2A_NODE_SECRET 后
- 删除 A2A_HUB_TOKEN workaround,Hub Search 仍成功
建议修复优先级:
- process.env.A2A_NODE_SECRET
- _cachedHubNodeSecret
- _loadPersistedNodeSecret()
- process.env.A2A_HUB_TOKEN(兼容 fallback)
a2a-node-secret-fix.patch
补丁我已整理成 diff,可直接应用。